可绕过邮件验证劫持账号，GitLab 紧急修复 CVSS 满分密码重置漏洞 CVE-2023-7028

1 月 16 日消息，GitLab 日前为社区版（CE）及企业版（EE）推出 16.7.2、16.6.4 及 16.5.6 安全更新，重点修复了 CVSS 风险评分达到 10 分的密码重置漏洞 CVE-2023-7028。PXp28资讯网——每日最新资讯28at.com

PXp28资讯网——每日最新资讯28at.com

据悉，该漏洞与身份验证有关，由于 GitLab支持用户通过辅助电子邮件地址重置密码，而相关电子邮件验证过程中存在错误，用户重置账号密码时可以将电子邮件发送到未经验证的电子邮件地址，因此黑客能够使用未经验证的漏洞地址接管账号。PXp28资讯网——每日最新资讯28at.com

PXp28资讯网——每日最新资讯28at.com

注意到，相关漏洞影响版本 16.1-16.7.1，GitLab 呼吁用户及时进行安全更新，并启用双重认证功能，以免账号遭到黑客盗用。PXp28资讯网——每日最新资讯28at.com

值得一提的是，本次更新还修复了另一项“授权检查不当漏洞”CVE-2023-5356，该漏洞影响 8.13 以上版本，CVSS 风险评分为 9.6，允许黑客滥用 Slack / Mattermost 集成，从而以其他用户的身份执行斜杠命令。PXp28资讯网——每日最新资讯28at.com

PXp28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-62669-0.html可绕过邮件验证劫持账号，GitLab 紧急修复 CVSS 满分密码重置漏洞 CVE-2023-7028

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 网易有道知识库问答引擎 QAnything 宣布开源，推荐 RTX 3090 及以上配置电脑本地部署

下一篇： Windows Server 2022 用户反馈安装微软 1 月更新后浏览器和应用白屏